Kaspersky: kraje najbardziej infekujące

W kwietniu 2008 szkodliwy kod w ruchu pocztowym znacznie różnił się w porównaniu z poprzednim miesiącem. Net-Womr.Win32.Mytob.t oraz Email-Worm.Win32.Mydoom.m, które stale pięły się w górę, awansując w zeszłym miesiącu o dziesięć miejsc, straciły nagle impet: jeden z nich odnotował spory spadek, drugi całkowicie zniknął z zestawienia. Jednak w przeciwieństwie do marca w rankingu pojawiły się nowe szkodliwe programy.

Ostatnia masowa wysyłka trojana Diehard miała miejsce w lutym i wygląda na to, że autorzy tego szkodnika zaprzestali rozpowszechniania swojego tworu na szeroką skalę. W marcu analitycy z Kaspersky Lab podejrzewali, że trojan ten uplasuje się na najniższych miejscach zestawienia zamiast aktywnie się rozprzestrzeniać. Jego nieobecność na liście 20 najpopularniejszych szkodników potwierdza te przypuszczenia.

Po raz kolejny mocne pozycje posiadają robaki, które istnieją już od dłuższego czasu: siedem na dwadzieścia miejsc w rankingu zajmują różne modyfikacje robaka Email-Worm.Win32.Netsky. Można to uznać za wyznacznik sukcesu twórców wirusów, szczególnie jeśli weźmiemy pod uwagę, że modyfikacje te stanowiły prawie 64% całego zainfekowanego ruchy pocztowego w kwietniu.

Trojan-Downloader.Win32.Small.hsl, który pojawił się w lutym i awansował na piąte miejsce, teraz zniknął, a na jego miejscu uplasował się Trojan-Downloader.Win32.Agent.ica. Jednak ta zamiana miejsc między trojanami downloaderami to zwykły zbieg okoliczności: te dwa programy nie mają ze sobą nic wspólnego. Zostały skonstruowane w całkowicie inny sposób oraz stworzone przy użyciu innych wersji środowiska programistycznego Microsoft Visual Studio.

Nie powrócił ani Zhelatin (znany również jako Storm Worm), ani Warezov, które zniknęły z rankingu w lutym. Wygląda na to, że ich autorzy postanowili nie rozprzestrzeniać swoich tworów za pośrednictwem załączników wiadomości e-mail.

Wirusy nie w załączniku

Obraz, jaki wyłania się z kwietniowych statystyk, po raz kolejny potwierdza, że nowe szkodliwe programy nie są rozsyłane jako załączniki do wiadomości e-mail. Ta wypróbowana metoda, pochłaniająca wiele zasobów (przynajmniej przy przeprowadzaniu pierwszej masowej wysyłki), wykorzystywana jest głównie przez stare dobrze znane szkodniki – te, które posiadają funkcjonalność robaka pocztowego. Trojany downloadery pojawiają się na liście 20 najpopularniejszych szkodników rzadko i na krótko: jest to prawdopodobnie spowodowane przeprowadzaniem masowych wysyłek przez szkodliwych użytkowników, którzy dopiero debiutują na tej scenie.

Szkodliwe programy stanowiły 0,95% całego ruchu pocztowego przeskanowanego przez systemy firmy Kaspersky Lab w kwietniu 2008 r. Inne szkodliwe programy stanowiły 4,06% całego szkodliwego kodu wykrytego w ruchu pocztowym, co świadczy o tym, że w ruchu krąży stosunkowo duża ilość innych robaków i trojanów.

W załączeniu tabela pokazuje 20 państw, które w kwietniu stanowiły największe źródła zainfekowanych wiadomości e-mail. Pełny raport znajduje się w Encyklopedii Wirusów Viruslist.pl prowadzonej przez Kaspersky Lab.

On-line Scanner Top 20

Jest to lista oparta na analizie danych zgromadzonych przez ekspertów z laboratorium antywirusowego przy użyciu skanera on-line w kwietniu 2008 roku. Ranking ten daje prawdziwy obraz zagrożeń znajdujących się w komputerach użytkowników w danym momencie, podczas gdy lista najpopularniejszych wirusów, oparta wyłącznie na danych z ruchu pocztowego, informuje o zagrożeniach, które zostały zablokowane zanim dotarły do użytkowników.

W końcu nastąpiła zmiana w pierwszej trójce na liście "On-line Scanner Top 20". Po dwóch miesiącach utrzymywania się na pierwszym miejscu program adware Virtumonde spadł na drugą pozycję, a pozostałe dwa programy, które w lutym i marcu znajdowały się razem z nim w ścisłej czołówce, odnotowały duży spadek.

Kwietniową niespodzianką był dobrze znany robak Brontok.q – po tym jak pod koniec 2007 roku finiszował na trzeciej pozycji, a przez większość 2008 roku krążył wokół szóstego miejsca, teraz wspiął się na szczyt rankingu. Szkodnik ten wykorzystał znaczącą utratę pozycji poprzedniego lidera, którego udział zmniejszył się z 4,32% w marcu do 1,58% w kwietniu. To oznacza, że autorzy Virtumonde’a zwolnili tempo rozprzestrzeniania swojego szkodnika.

Drugi miesiąc z rzędu swój udział zwiększył klasyczny wirus plikowy Virut.n, który teraz znajduje się tuż za pierwszą trojką. W kwietniu szkodnik ten awansował o dwie pozycje, w marcu natomiast o dziesięć. Z oczywistych względów autorzy wirusa Virut.n nadal go rozwijają. Virus.Win32.Virut.n nie jest jedynie infektorem plików stworzonym przez autora wirusów dla zabawy – jest to bot służący do tworzenia sieci zombie. Sieci takie stają się coraz popularniejsze i przynoszą coraz większe dochody w świecie cyberprzestępców. Virut.q, jedyna inna wersja wirusa Virut w zestawieniu, znajduje się na piątym miejscu. Ciekawe, czy jeden z nich zdoła w nadchodzących miesiącach objąć prowadzenie.

Spośród nowości w rankingu wyróżniają się dwa programy: chiński backdoor Hupigon.vnd oraz Trojan-PSW.Win32.OnLineGames.isb, stworzony w celu kradzieży kont w wielu popularnych grach online, takich jak World Of Warcraft i Lineage.

Na kwietniowej liście nadal dominowały szkodliwe programy tworzone głownie w celu kradzieży różnych haseł użytkowników.

Pełny raport znajduje się w Encyklopedii Wirusów prowadzonej na stronie Kaspersky Lab.